請教一下大家,我有一台server,有兩張網卡,一個網卡設定了固定IP可以正常連線沒問題。我想把另一個IP設定內網的虛擬IP,連到居易2110(VPN),這樣我可以遠端連上VPN,在透過這個虛擬IP連上主機。
但是現在遇到一個問題,如果只設定固定IP,這個IP可以正常連外/外面連上主機。但是當我把另一張網卡設定虛擬IP的時候,如果有設定GATEWAY,那固定IP就掛了,沒辦法連,得把虛擬IP用的那張網卡關掉,或是移除虛擬IP的設定,固定IP才能正常。或是虛擬IP的設定中,沒有設定GATEWAY,固定IP就正常了。但問題是沒有設定GATEWAY,這個虛擬IP就沒辦法連。怎麼會這樣呢?
喔,對了,我是使用centos。謝謝啦。
透過這個虛擬IP連上主機
要看那個主機IP是什麼.
Gateway當然可以設定很多個, 不過你要先告訴它什麼目的走什麼Gateway.
也就是設static route啦.
看起來只不過是你虛擬 IP 的網卡的優先權比較高,所以當它一啟用,所有的對外通訊都會透過它的 gateway 跑。
方法一:兩個網卡設定互換,讓固定 IP 的優先權比較高。
方法二:如果網卡設定互換沒用,對外依然是跑虛擬 IP,那就手動設定 route:
假設你的固定 IP 是 1.2.3.4,而虛擬 IP 是 192.168.1.2
先打 route 指令,你應該會看到如下類似的資訊:
<pre class="c" name="code">Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
1.2.3.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
先加一個虛擬 IP 用的 route:
route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0
再改掉預設 route:
route add default gw 1.2.3.255
舉我親身經歷的例子,我前一份工作,併購一家精品公司,主管要求總公司與精品公司之間要用vpn設備建Site to Site的vpn tunnel,精品公司的使用者要能利用這vpn tunnel來收送在總公司的mail server,而在精品公司上Internet有二台防火牆做HA,另有一個ROUTER接各百貨的櫃點的一個MPLS VPN區域網路。
我們建好了總公司與精品公司的vpn tunnel,結果USER一直無法收送郵件,二邊用tracert指令,結果總公司的路由是正確的,但精品公司是完全都沒有經過任何一點,看了精品公司的網路架構圖,實在看不出問題,後來請精品公司不懂網路的it,在自己電腦下ipconfig /all指令,才嚇到,電腦只有一張網路卡,雖只設一個ip但Gateway竟有三個,分別是二台防火牆及Router的IP,偏偏路由就是走到ROUTER,但ROUTER並沒有設定往我們公司的相關路由設定,所以封包到Router就停了,才找到真的原因....
所以:
1.如前面其他先進回答可知,一台電腦或server不管有幾張網路,是可以設定多個gateway
2.但不建議,如我的例子,在找路由問題時會較麻煩,而且我還遇到不懂網路的IT,讓我們花了許多時間在找問題點。
3.除非你對網路知識有一定的瞭解,真的有需要設多個GATEWAY,你也會設定server與相關網路設備的Routing設定,再來做,否則就不要自找麻煩了。
4.網卡是不一定要設定gateway的喔,server有二張網卡比較常見的應用只會有一張會設定gateway
5.何謂gateway,講白話點,gateway就是離開server所在網段的出口,如果你的封包沒有要離開這個網段,gateway可設定也可不設,設錯也沒關係,譬如說二台電腦網卡對接,只是為了傳檔案,就可不用設gateway
1.我eth0設虛擬ip,連到易居,有兩個目的:
這樣到時後內網的機器可以直接互連,方便機器間傳檔,但又不會吃到對internet的頻寬.
必要時,可以用vpn的方式連易居,再連各主機的eth0,連進主機
2.eth1是直接使用isp給的固定ip連上internet,並不會再連都易居上
1.很好奇你這台電腦所要扮演的角色為何?這台電腦直連Interlnet不是被攻擊入侵的風險極大嗎?您的做法有點奇怪。
2.如果是我的接法,ISP - 居易2110 - 內網電腦,居易2110 另有一個VPN Tunnel連到遠端的另一網段。
3. 所以居易的內網IP為內網的Default Gateway,那麼內網電腦不管是到Internet或是vpn,居易2110均有路由紀錄,那你所說的電腦也不需要再裝一張網卡,這也是一般的做法。
4. 如果方便的話,能否提供網路架構圖,那麼許多前輩比較能看出您的需求與問題,提供較好的方法。
不好意思 額外請教下
charley 大大
精品公司是透過mpls-vpn 與各點 傳輸資料應該是類似Pos系統
那麼貴公司與精品公司 vpn 是走一般網路
還是有另外申請mpls-vpn
因為一般網路 在島內穩定性有 但難免會有斷線情況 這樣傳輸郵件不是不穩定.
謝謝
當時因精品公司在一個月內就要搬到總公司大樓,所以是用三地的原有Internet網路,利用三台Juniper防火牆建Site to Site的VPN Tunnel
您好,
原則上,在網路的設定中,只能有一個Default Gateway,也就是預設路由,通常預設路由是指 IP網段 0.0.0.0/0.0.0.0 利用那以個節點來作繞送,您的問題基本上來看,Server接了兩片網卡,一片是對ISP,另一片是接到內網的VPN,而兩張網卡也設定了Gateway,此種設定等於設了兩筆預設路由,因為只能有一個預設路由,所以才會發生不能使用的問題,大致的解決方式如下:
以上設定後,大致的網路流向為,除了往居易的VPN要走對內的網卡外,其餘所有對外的連線都走ISP這條路出去。
提供給您參考,如有錯誤請指教,謝謝
cychin提到:
假定居易的設備對內的IP網段為:192.168.1.x/255.255.255.0,居易提供VPN的網段為192.168.100.x/255.255.255.0,
cychin大,可以請教下這段的意思嗎?這兩組IP差異在哪呢?謝謝啦。
您好,已回覆在補充說明了,謝謝
其實你應該思考一下你這台CentOS目前所擔任的角色及提供的服務是什麼,再來考量是否需要用到2張網卡.通常,若是要擔任router,才會同時使用2張網卡,不然,在一般情況下,一張網卡即已足夠,自然也不會有設2個gateway的狀況.